Mikenp 0 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Виру зашифровал все файлы данных изменив название файлов на filename.id-589C6196.[veracrypt@foxmail.com].adobe Создал текстовой документ FILES ENCRYPTED: all your data has been locked us You want to return? write email veracrypt@foxmail.com Сканеры KVRT и CUREIT ничего не нашли. Запустил SPUHUNTER5. Он нашел файл вируса INFO.HTA (прилагается в архиве VIRUS.RAR). Скриншот работы SPUHUNTER5 прилагается в файле Scan.jpg Выслан зараженный файл в архиве. Результат работы AutoLogger прилагается. CollectionLog-2019.04.22-07.50.zipvirus.rar зараженый файл.rar Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Здравствуйте! Расшифровки этого типа вымогателя нет. Ярлыки запуска программ придется пересоздать вручную. Если нужна очистка следов, проделайте следующее: Через Панель управления - Удаление программ - удалите нежелательное ПО: SpyHunter 5 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Mikenp 0 Опубликовано 22 апреля, 2019 Автор Share Опубликовано 22 апреля, 2019 Addition.txt Здравствуйте!Расшифровки этого типа вымогателя нет. Ярлыки запуска программ придется пересоздать вручную.Если нужна очистка следов, проделайте следующее:Через Панель управления - Удаление программ - удалите нежелательное ПО: SpyHunter 5 Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RebootWindows(false); end. Компьютер перезагрузится.Дополнительно:Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.Когда программа запустится, нажмите Yes для соглашения с предупреждением.Нажмите кнопку Scan.После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.Подробнее читайте в этом руководстве. Скрипт в AVZ выполнил. Отчеты: FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Не цитируйте всё предыдущее сообщение. Используйте форму быстрого ответа внизу. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: GroupPolicy: Restriction ? <==== ATTENTION GroupPolicy\User: Restriction ? <==== ATTENTION FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION HKU\S-1-5-21-2886344716-2538757526-1856546742-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\S-1-5-21-2886344716-2538757526-1856546742-1013\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION BHO-x32: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
Mikenp 0 Опубликовано 22 апреля, 2019 Автор Share Опубликовано 22 апреля, 2019 Высылаю Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива. Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Ссылка на сообщение Поделиться на другие сайты
Mikenp 0 Опубликовано 22 апреля, 2019 Автор Share Опубликовано 22 апреля, 2019 Спасибо за помощь. Высылаю: SecurityCheck.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 22 апреля, 2019 Share Опубликовано 22 апреля, 2019 ------------------------------- [ Windows ] ------------------------------- Internet Explorer 11.0.9600.17843 Внимание! Скачать обновления ^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^ Контроль учётных записей пользователя отключен Запрос на повышение прав для администраторов отключен Запрос на повышение прав для обычных пользователей отключен ^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^ Автоматическое обновление отключено Восстановление системы отключено Учетная запись гостя включена. Пароль не установлен. ------------------------------- [ HotFix ] -------------------------------- HotFix KB3020369 Внимание! Скачать обновления HotFix KB3125574 Внимание! Скачать обновления HotFix KB4012212 Внимание! Скачать обновления HotFix KB4493472 Внимание! Скачать обновления --------------------------- [ FirewallWindows ] --------------------------- Брандмауэр Windows (MpsSvc) - Служба работает Отключен общий профиль Брандмауэра Windows Отключен частный профиль Брандмауэра Windows --------------------------- [ OtherUtilities ] ---------------------------- Microsoft .NET Framework 4.5 v.4.5.50709 Внимание! Скачать обновления Microsoft Office Access 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Microsoft Office Excel 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice K-Lite Mega Codec Pack 8.9.2 v.8.9.2 Внимание! Скачать обновления Microsoft Office PowerPoint 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice TeamViewer 14 v.14.2.2558 Внимание! Скачать обновления WinRAR 4.10 (32-разрядная) v.4.10.0 Внимание! Скачать обновления Microsoft Office Word 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice Microsoft Office Access MUI (Russian) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Microsoft Office Visio Professional 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Рекомендации после удаления вредоносного ПО Ссылка на сообщение Поделиться на другие сайты
dm85 0 Опубликовано 23 апреля, 2019 Share Опубликовано 23 апреля, 2019 Поймал такой же вирус id-942370fd.[veracrypt@foxmail.com].adobe Как найти сам вирус? Сеть компов 15 файлы зашифрованы только на серверах: 1) две общие папки с доступом по сети 2) базы данных 1с на терминальном сервере как найти этот вирус? проверяли компы cureit ничего не нашли восстановили данные через день они снова зашифровались так же поменяли пароли на rdp Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 23 апреля, 2019 Share Опубликовано 23 апреля, 2019 @dm85, здравствуйте! Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти